Kolejny tydzień funkcjonujemy w nowym systemie ochrony danych osobowych, który wprowadziło unijne rozporządzenie obowiązujące od 25 maja 2018 r. Zmiany odbiły się głośnym echem głównie wśród przedsiębiorców, którzy rozpoczęli masową produkcję dokumentacji na potrzeby ewentualnej kontroli. Sposoby na zdobycie „rodopapierów” były różne (kwestia budżetu i wymagań). Wśród nich znalazły się: zakup wzorów do wypełnienia, kopiowanie tego, co ktoś wrzucił do sieci, czy też indywidualne audyty i opracowania specjalistów. Przez chwilę poczułam się jak przy punkcie ksero na pierwszym roku studiów… Biorąc jednak po uwagę fakt, że każda branża ma odrębne regulacje szczególne, które wypadałoby poznać zanim wykorzystamy gotowy druk, zaczęłam się zastanawiać na ile szablon jest w stanie urzeczywistnić wywiązanie się z zasady rozliczności wg. RODO. Tym bardziej, że rozporządzenie nie nakazuje nam wprost tworzenia opasłych tomów dokumentacji. Poniżej postaram się wyjaśnić, gdzie można szukać wskazówek niezbędnych do stworzenia rejestru, polityk, procedur itp.
Przepisy prawa a dokumentacja
Z chwilą wejścia w życie nowych przepisów tracą moc dotychczasowe regulacje. W tym chociażby rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych. Na dzień dzisiejszy niezbędnych informacji należy szukać w rozporządzeniu Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. (tzw. RODO), w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych oraz innych szczególnych regulacjach dotyczących konkretnej branży.
Przykładowo w przypadku podmiotów wykonujących działalność leczniczą będzie to w szczególności: ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta i rozporządzenie Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania. W odniesieniu zaś do podmiotów realizujących zadania publiczne wartym poświecenia uwagi będzie rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
W przypadku odrębnych dziedzin mamy inne szczególne regulacje, o których nie należy zapominać budując wewnętrzny system ochrony danych osobowych.
Wytyczne dotyczące dokumentacji
Akty prawne, o których mowa powyżej nie zawierają konkretnych wytycznych co do tego, jak powinna wyglądać dokumentacja przetwarzania danych osobowych. Co więcej, nie formułują nakazu jej prowadzenia. RODO daje podmiotom przetwarzającym dane osobowe pewną swobodę w tym zakresie. I słusznie, bo gdyby narzucono sztywne wymogi bardzo szybko mogłyby okazać się nieaktualne i nieadekwatne do rzeczywistości.
Skąd zatem pomysł tworzenia dokumentacji?
Obowiązki administratorów danych
Administratorzy danych i podmioty przetwarzające mają pewne obowiązki formalne, które wynikają wprost z RODO. Wśród nich znajdują się między innymi:
- prowadzenie rejestru czynności przetwarzania i rejestru kategorii czynności przetwarzania (art. 30 RODO);
- obowiązek zgłoszenia naruszenia ochrony danych wg. wytycznych, o których mowa w art. 33 ust. 3 oraz obowiązek dokumentowania wszelkich naruszeń (art. 33 ust. 5);
- dokonanie oceny skutków dla ochrony danych i zawarcie w niej informacji, o których mowa w art. 35 ust. 7 RODO – w tym przypadku UODO sugeruje aby tworzyć raporty dokumentujące wyniki przeprowadzonych ocen;
- powierzenie danych na podstawie umowy lub innego instrumentu prawnego z uwzględnieniem warunków, o których mowa w art. 28 ust. 3 RODO.
Dokumentacja uwzględniająca wymagania RODO
Zgodnie z brzmieniem komunikatu zamieszczonego na stronie internetowej organu nadzorczego „Obecnie, w nowym systemie prawnym dotyczącym przetwarzania danych osobowych, nie wymienia się dokumentów jakie administrator powinien posiadać, aby wykazać zgodność realizowanych czynności przetwarzania (…)”. Oczywiście poza elementami dokumentacji, których obowiązek prowadzenia wynika wprost z Rozporządzenia (np. rejestr czynności przetwarzania). Ponadto, „z treści art. 24 ust 1 RODO wynika jednak, że administrator danych ma być w stanie wykazać całościowo zgodność przetwarzania danych (…) „.
W praktyce oznacza to, że mimo braku formalnego obowiązku prowadzenia dokumentacji przetwarzania danych należy dysponować „instrumentami”, które pozwolą wykazać, że przetwarzanie danych odbywa się zgodnie z prawem. Mianowicie poprzez stosowanie się do zasad przetwarzania określonych w art. 5, zapewnienie wypełnienia obowiązków ciążących na administratorze i podmiocie przetwarzającym, respektowanie praw osób fizycznych czy zapewnienie kontroli nad przetwarzaniem danych. Dobór środków zależy od administratora danych. Powinien on jednak uwzględniać stan wiedzy technicznej, koszty, charakter, zakres, kontekst, cele przetwarzania a także ryzyka na jakie są narażone przetwarzane dane.
Stara dokumentacja a nowe prawo
Zdaniem organu nadzorczego, „(…) jeśli prowadzona wg. dotychczas obowiązujących wymagań dokumentacja zawierała wymagane elementy, takie jak inwentaryzacja zasobów informacyjnych, opis przepływy danych między systemami czy specyfikacje środków organizacyjnych i technicznych zastosowanych do ochrony przetwarzanych danych, czego wymagała polityka bezpieczeństwa to w pełni można je przenieść do nowej dokumentacji”.
Co więcej, UODO nie widzi przeszkód aby starą dokumentację (o ile była prowadzona) uzupełnić o nowe elementy, w tym: rejestr czynności przetwarzania, rejestr kategorii czynności przetwarzania, procedury zgłaszania naruszeń ochrony danych do organu nadzorczego, procedury prowadzenia wewnętrznego rejestru naruszeń ochrony danych, raporty dokumentujące wyniki przeprowadzonych ocen skutków dla ochrony danych, procedury związane z pseudonimizacją i szyfrowaniem itp. Oczywiście pod warunkiem, że są zgodne z wymaganiami określonymi Rozporządzeniem oraz adekwatne do obecnego stanu wiedzy technologicznej.
Podsumowanie
Nie sposób wyliczyć katalogu dokumentów, które stanowiłyby wymagane minimum dla każdej branży i każdego przedsiębiorcy. Zapewne w przypadku małych firm, które przetwarzają dane osobowe sporadycznie dokumentacja będzie bardziej okrojona, niż w przypadku korporacyjnego giganta. Jednakże każdy przedsiębiorca powinien dokonać indywidualnej analizy przepływu danych w swojej firmie, aby odpowiednio dobrać środki i skonstruować dokumentację adekwatną do rodzaju przetwarzania.
Źródła
ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
strona internetowa Urzędu Ochrony Danych Osobowych